一种基于主机特征混淆的数据安全交互方法与流程

本发明涉及开放网络环境中收发双方进行安全通信技术领域，特别是指一种通过构建异构容器池基于主机特征混淆的数据安全交互方法。

背景技术：

在开放网络环境下收发双发进行通信，面临着诸多缺陷，信息传输经过众多中间节点，这些节点对于用户不可控，风险高，容易受到非法第三方的监听，数据经过恶意节点、链路时，面临着信息被嗅探、提取、篡改以及阻断的风险。

目前，网络安全通信方式多样，包括认证身份、加密数据以及构建虚拟专网等，但这些方式仍然存在以下问题：

(1)对传输数据及通信行为进行安全保护，无异于对外表明了通信双方的特殊性，容易招致第三方的重点监视。

(2)采取的身份认证、数据加密等安全处理手段，多是在已有网络二层及以上协议上进行改进，数据传输时，仍然存在可被分析的协议特征，造成数据泄露的风险。

技术实现要素：

有鉴于此，本发明提出一种基于主机特征混淆的数据安全交互方法，将交互数据隐藏在标准、普通的各类协议的主机指纹特征中，通过指纹混淆实现数据的安全交互，进而规避第三方的监视。

为了实现上述目的，本发明提供的技术方案是：

一种基于主机特征混淆的数据安全交互方法，其特征在于包括以下步骤：

(1)利用主机指纹信息设计通信字节代换表t并存储在通信两端；其中，通信字节代换表t内每个元素e为一个键值对，键k为主机指纹，值v为字节数据；通信两端包括信源和信宿；

(2)信源和信宿两端利用虚拟化技术动态各生成多个系统架构和版本各不相同的异构容器c，异构容器c内部署有包括web和ftp的多种不同类型的服务；通过对所有异构容器c进行控制，形成主机指纹混淆池；

(3)信源收到信宿的发送数据请求包p后，信源对发送数据请求包p进行编号、缓存，并提取p中的主机指纹信息；基于通信字节代换表t，信源根据主机指纹信息，得到对应的字节数据；根据约定的通信规则库，信源利用字节数据查询出通信指令；

(4)根据通信指令，信源计算出响应数据d，并将d作为一个值或拆分为多个值，基于通信字节代换表t，查询得到对应的一个键k或多个键，每个键k标识一个主机指纹；

(5)信源依次处理每个键k，从主机指纹混淆池中选择、激活相应的容器c；容器c根据键k，触发对应的服务，生成标准、普通的协议数据包pd；

(6)信源依据防护策略对协议数据包pd的发送时间、时延、属性进行修改，得到回复数据包rd并发送到信宿；

(7)信宿收到回复数据包rd，提取出回复数据包中携带的主机指纹信息，利用通信字节代换表t得到信源发送的数据，从而完成通信双方数据的安全交互。

可选的，所述步骤(1)中，主机指纹信息包括：操作系统架构类型、系统版本号、运行的服务类型、服务接口号、浏览器类型、和ttl时间。

可选的，所述步骤(2)中，虚拟化技术包括kvm、docker和vmware；操作系统架构包括windows、linux、unix，其中linux系统包括：redhat、centos、ubuntu和fedora；web服务包括：iis、apache/tomcat和nginx；运行的服务器类型包括tcp、ftp、http、ssh、telnet和imap。

可选的，所述步骤(3)中，通信指令包括：心跳保持、数据获取请求、重传请求、数据获取确认和连接断开。

可选的，所述步骤(5)中，协议数据包类型包括：icmp、tcp、ftp、http、ssh、telnet和imap。

可选的，所述步骤(6)中，协议数据包pd的属性包括源ip地址、源mac地址、源端口号、目的ip地址、目的mac地址和目的端口号。

本发明与现有技术相比，所取得的有益效果为：

1、本发明巧妙地将交互数据隐藏到已有、常用、标准的通信协议主机指纹中，交互内容为常规明文，有效规避了第三方的监管。

2、本发明将数据分散到不同层级、不同类型协议的主机指纹中，交叉使用多种网络协议同时交互，有效伪装了通信行为，内容更隐蔽，数据更安全。

3、本发明进一步地可以实现基于主机特征混淆的数据安全交互软件系统，该方案提取、设计了主机特征混淆公共处理流程及软件各功能模块，定义了主机指纹字节代换表和通信指令规则库，有利于本发明的推广。

附图说明

图1是本发明软件系统组成结构示意图。

图2是本发明方法的数据处理流程图。

具体实施方式

参照图1和图2，本发明实现了一种基于主机特征混淆的数据安全交互方法，该方法通过接收、提取、生成携带指定主机指纹的数据包，完成通信双方的安全交互。

图1是本发明方法的模块组成图，包括通信字节代换模块、目标识别模块、通信控制模块、服务总线模块、通信引擎模块、主机指纹混淆模块、流量牵引模块和数据处理模块。图2是软件功能架构及数据处理流程图，信源和信宿两端相同。

本发明的一种基于主机特征混淆的数据安全交互方法，其特征在于包括以下步骤：

(1)利用主机指纹信息设计通信字节代换表t并存储在通信两端；其中，通信字节代换表t内每个元素e为一个键值对，键k为主机指纹，值v为字节数据；通信两端包括信源和信宿；

(2)信源和信宿两端利用虚拟化技术动态各生成多个系统架构和版本各不相同的异构容器c，异构容器c内部署有包括web和ftp的多种不同类型的服务；通过对所有异构容器c进行控制，形成主机指纹混淆池；

(3)信源收到信宿的发送数据请求包p后，信源对发送数据请求包p进行编号、缓存，并提取p中的主机指纹信息；基于通信字节代换表t，信源根据主机指纹信息，得到对应的字节数据；根据约定的通信规则库，信源利用字节数据查询出通信指令；

(4)根据通信指令，信源计算出响应数据d，并将d作为一个值或拆分为多个值，基于通信字节代换表t，查询得到对应的一个键k或多个键，每个键k标识一个主机指纹；

(5)信源依次处理每个键k，从主机指纹混淆池中选择、激活相应的容器c；容器c根据键k，触发对应的服务，生成标准、普通的协议数据包pd；

(6)信源依据防护策略对协议数据包pd的发送时间、时延、属性进行修改，得到回复数据包rd并发送到信宿；

(7)信宿收到回复数据包rd，提取出回复数据包中携带的主机指纹信息，利用通信字节代换表t得到信源发送的数据，从而完成通信双方数据的安全交互。

为了更明确的说明，本发明的具体实施例如下：

如图2所示，一种基于主机特征混淆的数据安全交互方法，其特征在于包括以下步骤：

(1)通信前，系统利用主机指纹信息构建通信字节代换表t，下发到信源和信宿，存储在双方的数据库中。通信字节代换表结构由四列组成，第一列为主键索引，第二列为主机指纹信息，第三列为数据内容，第四列为该条映射的描述信息；

其中，数据库中存储的主机指纹信息包括：操作系统架构类型、系统版本号、运行的服务类型、服务接口号、浏览器类型、和ttl时间；

(2)信源和信宿两端选择kvm、docker和vmware虚拟化技术，动态生成多个系统架构和版本各异的容器，每个容器为内存、存储、网络资源各自独立的操作系统。操作系统包括windowsxp、win7、centos7和ubuntu14；

每个容器内部署web和ftp多种不同类型的服务；web服务类型包括iis、apache/tomcat和nginx；容器内部署的服务还包括tcp、ftp、http、ssh、telnet和imap。通信引擎对所有异构容器资源进行控制，形成主机指纹混淆池；

(3)信源通过icmp、tcp、ftp、http、ssh协议收到信宿的请求包，依据白名单对目标进行识别，若不在白名单中，则直接丢弃。若在白名单中，分流引擎对发送数据p请求包进行编号，缓存到数据库中，并转发到通信控制模块；

通信控制模块提取p中的主机指纹信息，依据规则中的通信字节代换表t，得到对应的字节数据，并发送到数据处理模块；数据处理模块对数据进行解密操作，查询通信规则数据库，得到心跳保持、数据获取请求、重传请求、数据获取确认和连接断开通信指令内容；

(4)根据通信指令类型及输入信息，数据处理模块构造对应的响应数据包，加密后发送到通信引擎；通信引擎根据包的大小，按需拆分为多个子包，利用服务总线获取内存中通信字节代换表信息，查询得到各子包对应的主机指纹信息；

(5)通信引擎依次处理每个主机指纹，利用资源控制模块，从主机指纹混淆池中选择、激活相应的容器；容器内的操作系统被唤醒，解析通信引擎发送的主机指纹，构造一个icmp、tcp、ftp、http、ssh、telnet和imap协议数据包，发送到流量引擎；

(6)流量引擎模块依据防护策略修改协议数据包的源ip地址、源mac地址、源端口号、目的ip地址、目的mac地址和目的端口号属性，通过icmp、tcp、ftp、http、ssh、telnet和imap协议发送到信宿；

(7)信宿收到信源发送的数据包，按照图2所示流程，提取数据包携带的主机指纹信息，利用通信字节代换表t得到信源发送的数据，从而完成通信双方数据的安全交互。

本发明丢弃了在网络协议上采用身份认证、数据加密等进行通信的传统方式，采用了一种基于主机特征混淆实现数据安全交互方法，提出了在开放网络环境中收发双方进行安全通信的新思路，是对现有技术的一种重要补充。